Comments 100
Такая фигня не только в нашей стране происходит. White Hat хакеров постоянно наказывают.
Производитель детальные чертежи дал?
И, да, у нас в конторе стояли несгораемые шкафы — у них толщина стенки была 4-5 мм, топором рубить не разбежишься, и стенка была однослойная.
Ну так если не сказать что это супер сейф, то и сенсации не получится.
Сейф представляет из себя два листа жести с заполнением какой-то пеной (типа строительной).
Примерно год-два назад уже была сенсация как их "сейф" вскрывали магнитом в носке. А на ютюбе есть видео как что-то подобное вскрывают легким ударом кулака по верхней крышке.
Это называется журналистика в эпоху постправды. У статьи +44 (сейчас). Люди голосуют чтобы было больше подобных статей. Они их получат.
Паяльник за 50 деревянных из FixPrice — наш выбор.
Пользуюсь клеевым пистолетом из FixPrice — нареканий нет.
А паяльник у меня советский, старше меня. Вероятно и детям уйдет по наследству. Но есть нюанс, и он заключается в размере жала. Боюсь, что через 15 лет им будет просто нечего паять.
Когда я свою покупал (тоже конструктор) — у меня дома было три паяльника…
Ну ктож адруиной сейфы то ломает? Фи…
Или никто не видел установок где за доли секунды кубик собирают, крутя его по всех осям.
Фиговые из вас взломщики сейфов… :)
Похоже это максимум на что способны ардуиншики. Очень печально, что такой плохой результат вызвал цитирую: «аудитория из нескольких сотен человек взорвалась восторженными аплодисментами».
Механический брутфорс способен на намного более фееричные результаты. Но видимо ардуинщики принципиально очень недалекие люди. Хотя в принципе это и объяснимо, 99.5% пользователей этой платформы пользуют готовые быдлокоженные модуля, и никогда не заглядывают «под крышку своего МК». А там порой встречаются «12-ти цилиндровые V-образные движки», способные на великие подвиги, как к пример stm32duino.
Но в данном примере, ПЛИСина очень хорошо-бы подошла… она легко выведет любой шаговик на полный максимум, при этом будет датчиками проверять его угол поворота, чтобы не было ошибки на максимальной нагрузке и скорости, при всем этом, будет по HDMI слать сигнал на проектор, для демонстации аудирии параметров работы механики и перебираемой комбинации, да еще и слушать механику сейфа, выделяя искомые шумы. И незабываем, что она все это будет делать тру-паралельно, в полном реалтайме. Оперируя не жалкой тысячей комбинаций в полтора часа, а многими-многими миллионами комбинаций в час.
Авторам даже не пришлось-бы проделывать столь бесполезную работу по анализу косяков проектировки замка.
PS.Я тут вижу проблемы только в большом расходе жидкого азота, для охлаждения механики сейфа, чтоб тот не расплавился к чертям… всетаки трение никто еще не отмеял :) Ну и вероятно проблема еще в том, что аудиторию после такого шоу пришлось-бы сразу госпитализировать с сердечными приступами. Ведь ардуинщики-же… крайне недалекий и очень впечатлительный народ, приученный довольствоваться малым… именно такой вывод можно сделать по тексту данной статьи.
В принципе видно что можно было быстрее. Основное время тратится на кручение. Причем иногда оно быстрое, иногда медленное, иногда промахивается и прокручивается обратно. В общем можно было бы ускорить используя более дорогой двигатель. Но ИМНО и так сойдет :)
Делал аналогичную фиговину, с таким же методом, но на шаговике — NEMA 23 (длинный, примерно 11 см и тяжелый), а тут вроде моторчик с энкодером.
Лучшее чего смог добиться это 730 комбинаций (все 3х числовые коды, числа кратные 10 за минусом запрещенных диапазонов) примерно за 11,5 минут. Если быстрее, то либо пропуск шагов, либо вся конструкция вибрирует и начинает проворачиваться вокруг лимба. Держалась эта фиговина на двери за счет нескольких магнитов. это недостатки моей конструкции,
Пробовал и более мощный шаговик, но тут вылезли другие минусы, вес, громоздкость конструкции, неуниверсальность, долгая возня с установкой и креплением. И при тестах выбил один из кодовых дисков, дальше экспериментировать не стал оставил NEMA 23. Так как программист из меня никакой так и не довел до ума. Генерил питоновским скриптом список комбинаций, даже вроде gui прикрутил, одной ардуиной рулил дисплеем, кнопками, перегонял список в G-code и скармливал второй arduino на которую залит grbl))). Можно сделать и лучше, но у них было реализовано ускорение и торможение, я б так не смог сходу написать, а разбираться и тратить время не особо хотелось.
То что вы предлагаете, совсем другой уровень.
Фееричный бред про анализ косяков замка — 1000 000 комбинаций против 1000.
И про жидкий азот такой же бред — механика замка внутри сейфа а не снаружи. Если есть доступ к механике, зачем вообще нужен перебор. Про ультразвуковые шаговики ниже тоже, уже писали что механика не выдержит. Ось лимба силуминовая может и сломаться от такой нагрузки, диски латунные и держатся за «шестерню» на оси одним маленьким зубом, при частой и резкой смене направления (микросекунды), код на дисках будет сбиваться пока этот зуб не сотрется совсем. И тогда крутить будет вообще бесполезно)))
Пишите лучше о том в чем разбираетесь.
Да, «тупой ардуинщик» может собрать устройство за вечер на коленке. И, оно ещё и работать будет. Может, даже, и продаваться успешно.
Вы просто вдумайтесь в математику… 1000 комбинаций за 73 минуты, это менее чем 1 комбинация за более чем 4 секунды.
Похоже это максимум на что способны ардуиншики
быстродействие исполнительных механизмов в данном случае от платформы не зависит. Поставь суперкрутой сервопривод с пиковым током в 300-500 А, управляемый через троллейбусные транзисторы и будет скорость перебора в 5 раз выше, не важно, через майнкрафт ты управляешь или через ардуино.
Про майнкрафт написал, потому что внутри этой игры можно реализовать достаточно сложную логику и с помощью модов или физических устройств вывести сигналы куда угодно.
Пример с кубиками некорректен.
Во-первых там специальные кубики, предназначенные для скоростной сборки, с облегченным вращением, во-вторых компьютер там уже знает какая комбинация положений цветов должна быть, и исходя из этого расчитывает алгоритм
Да и выдать современные шаговики способны весьма неплохой момент.
Просто проблема в рукожопстве ардуинщиков. Очевидно-же…
При всём моём глубоком уважении к ядерной физике и Вам лично, пока Вы не предоставили свой практический опыт во взламывании сейфов/замков и даже хотя бы теоретически не доказали мне, почему среднестатистический человек должен вместо пары тысяч и пары дней мутить полноценный НИОКР ради одного замка — ваше мнение на этот счет не более ценно, чем политические выкладки аналитика из соседнего таксопарка.
Я считаю себя профессионалом в области электроники и неплохо знаком с механикой, так что Ваши рассуждения мне сильно напомнили «специалистов», которые искренне не понимают, почему нельзя выстрелить ракетой с людьми из громадной пушки — «ну подумаешь, 120 g, зато недолго».
PS И в профиле у Вас не одной публикации… странно как то, наверное, Хабр тоже Ваши статьи обходит с опаской?
Ещё хочу заметить, что Ардуино — это система с невероятно-низким уровнем вхождения. Даже человек, который никогда не имел дел с электроникой и программированием, за считанные дни может разобраться и создать подобный механизм для взлома сейфов. При должном упорстве, конечно.
И это впечатляет больше, чем сама возможность взлома сейфа с помощью робота.
Что может впечатлить только самих рукожопов :)
А весь остальной цивилизованный мир кодит прямо на железо, не применяя прокладки с приставкой «duino». Не брезгая и ассемблерными вставками. Чем реализует потенциал кристалла полностью. А когда оного не хватает, садится на ПЛИСины, и льет туда любую нужную математику и любые удобные разработчику ядра МК.
Ну а вы можете и дальше «впечатляться» своим «низким уровнем вхождения», и скоростью «почти 1 комбинация за 4 секунды» :) Вам этого никто не запрещает :)
AndreyDmitriev — ну так пишите статью «как открыть сейф рентгеновской установкой», чего-же вы сидите? Или вас физиков практиков к вашим установкам только раз в год подпускают?
Что касается меня, я эти установки создаю, а все прототипы которые коммерчески бесполезны публикую на радость общественности, чувствуете разницу? :)
Что касается азота, так это был «юмор», такое слово вам известно? (там даже смайлик стоит для особо практических физиков)
technomancer — НИОКР, да вы прикалываетесь ?! задача-то не отличается особой сложностью. Вот спектрометр нефтянникам создать, на рабочие температуры от -50 до +150, с довольно жесткими требованиями по дрейфам, это да, не тривиальная задача, но и та на НИКОР не тянет. А подключить шаговик к плисине с кучкой датчиков, и за пару дней алгоритм накатать прям сразу НИКОР. М-да…
Вот и получается, что гики, сгинули в куче ардуинок. Из которых расти не хотят. (или не могут)
Вообще, конечно, сказано сильно. Но немного по духу (не хочу обидеть, просто ассоциация) напоминает одного, в целом, хорошего и уважаемого мной человека, когда он смотрит боевик и вспоминает, как в армии лихо стрелял из АК. Не может, правда, на третий этаж подняться без одышки, но случись чего, так непременно.
Не нашел здесь Ваших публикаций.
Гугл предложил профиль в гитхаб, откуда я попал на небольшую компанию, предлагающую дозиметры от 15 тыр, и на профиль 4pda, где пользователь просит помощи в разборках с OrangePi.
Уж снизойдите, укажите на источник Истинного Знания.
А Orange Pi — это что еще один клон малинки? Наверное для особо рукожопых недо-ардуинщиков… Или лнинух уже перестал сегфолтится на каждом чихе быдлокодера?
Снизходить… нафига? всеравно-же нифига не поймете :) (это был юмор)
А минусов я думаю больше всеравно не станет. Посему нафиг мне не надо.
Arduino — это [не только] API с помощью которого можно программировать AVR, AVR32, STM32, ESP8266, и не удивлюсь если что-нибудь еще.
В 99.999% проектах не требуется «реализовать весь потенциал кристалла полностью».
Если любое такое API это «исключительно для тупых рукожопов» то STMicroelectronics делает микроконтроллеры «исключительно для тупых рукожопов» потому что сами пишут кодогенераторы для их контроллеров.
FreeRTOS? — Для рукожопов. И без него можно «реализовать весь потенциал кристалла полностью».
Пойдем дальше?
C++ — для рукожопов. Немогут напрямую кодить, абстракции им подавай.
Java — Для рукожопов, там синтаксический сахар на синтаксическом сахаре.
Но «реализовать весь потенциал кристалла полностью» никому не нужно. От слова совсем. Исключительно в академических интересах.
В 99.999% проектах не требуется «реализовать весь потенциал кристалла полностью».»
Главный плюс, на мой скромный взгляд, в том, что создатели предложили простой способ сделать что-то, когда нет знаний, времени или желания заморачиваться. Этакий избыточный мультитул, который гораздо полезнее иметь всегда в рюкзаке («здесь и сейчас»), чем ящик с инструментами дома, на другом конце города.
А наши восточные товарищи ещё и сделали этот способ чрезвычайно дешевым. За что большое им спасибо.
Кому-то хватает, кому-то нет, и он лезет дальше. Для кого-то это просто прикольное хобби, кому-то достаточно просто того, что уже работает.
На моих глазах в 2010 году местная кабельная компания купила у парней «робота» для протяжки кабеля между домами. «Робот» был собран из разобранной детской РУ-машинки с пультом от этой же машинки.
Не сомневаюсь, что «просветленный» собрал бы сверхпроизводительного робота на разработанной, заказанной на заводе плате с применением умения «пайки столь им любимых UFQFPN»… Но кабельщики уже отдали деньги (достойные, но вполне умеренные, как я слышал) тем парням с переделанной РУ машинкой.
Просто не понимаю (как всегда, проецируя себя на окружающих) как можно на этом останавливаться в стиле «ну работает же», в особенности, когда это касается ПО.
К моему глубокому сожалению, хорошего стиля А среда не прививает.
Машины должны служить нам, а не мы машинам. При хороших условиях окружающей среды, микроконтроллер может обеспечивать работу устройства еще много лет после смерти создателя этого устройства. А если устройство удовлетворяет предъявленным к нему требованиям, встает вопрос: стоит ли тратить на дальнейшее вылизывание драгоценное время, которого никто сверху не подкинет даже за безупречную красоту спрятанного внутри кода?
Гамлетовский просто вопрос, и каждый пусть решает для себя сам.
Лично я лучше пойду поем :-)
P. S. Как Вам, например, выбор в качестве водораздела не «работает», а «хорошо работает»?
Заказчику, вдохновленному, такой простотой иногда приходится кратко объяснять, почему нельзя «поставить под днище ардуинку».
А то сейчас похоронят под ярлыками.
C++ — для рукожопов. Немогут напрямую кодить, абстракции им подавай.
Java — Для рукожопов, там синтаксический сахар на синтаксическом сахаре.
О, блин, а я вот семнадцать лет в LabVIEW программирую. Мышкой. Мне просто страшно представить уровень моей безнадёжной рукожопости.
На лицо явная тенденция, вы заметили! Это хорошо.
И калькуляторы в школах тоже для рукожопов ввели, кстати сказать.
В результате дети перестают учится думать и считать. Как результат, растет «поколение ардуино».
К сожалению я имел опыт обучения заядлых ардуинщиков, так они в 70% случаев даже не знали как правильно припаять TQFP-шку, и искали готовый модуль. А задача пайки столь мною любимых UFQFPN, вообще вводила их в панику.
А прототип с перерезанными дорожками и напаянными вторым этажем деталями, который я как-то посылал Дейву с EEVBLOG, вообще вызвал фурор, несмотря на то что он был очень далек от идеала.
Но самостоятельно, из всех этих нескольких тысяч лайков и сотен комментаторов, смог собрать только один пользователь, даже не смотря на то что канал сугубо тематический. Хотя сложного ничего нет.
С такими темпами лет через 10 некому будет разрабатывать. Сейчас уже сложно нормального инженера найти, а что будет потом?!
А что касательно «академических интересов», они перестают быть таковыми когда люди снимают спектр хотя-бы банального датчика дыма, коих на просторах нашей родины многие многие тысячи, и переходят в сугубо практическую проблему для пользователя.
technomancer — это-же и главный минус… ибо данная платформа полностью удовлетворяет рукожопов, и они просто перестают стремится, учится и познавать. Так как добиваются своих заветных 1000 комбинаций за 70 минут брутфорса.
Выше в комментах положили видео, на лицо явная тормознутость устройства. Можно и НУЖНО было сделать его быстрее. Пусть даже чисто для «шоу» или ради «академического интереса». Даже человек быстрее сейф этот вскроет брутфорсом, чем эта фигня на ардуине.
И калькуляторы в школах тоже для рукожопов ввели, кстати сказать.Физико-математический лицей. Контрольная по тригонометрии. В заданиях нет ни одного числа. На одной парте сидят два ученика: первый хорошо разбирается в математике, а над вторым учительница все время подшучивает. Первый спрашивает второго: «Калькулятор есть?». Второй оборачивается ко всему классу и тихо спрашивает у кого есть калькулятор. Учительница ехидно: «Калькулятор? Тут нет чисел». Все начинают хихикать. Второй ученик берет протянутый калькулятор и говорит: «Это не мне», и передает первому ученику. В классе наступает тишина, все возвращаются к контрольной, а первый ученик начинает что-то считать. (Что-то нужное для контрольной, к слову сказать.)
И калькуляторы в школах тоже для рукожопов ввели, кстати сказать.
Калькулятор это инструмент, не зная элементарной математики воспользоваться им будет сложно.
Адруино, это удобный инструменты, его задача не реализовывать сложные вещи, не вникая в суть, и не позволять создавать максимально быстрые и устройства, а имея пару тысяч в кармане воплотить в жизнь ту или иную неделю в максимально сжатые сроки. В том числе и здесь задача состояла не сделать это максимально быстро, а показать возможность такого способа взлома, при котором достаточно подбрать 1000 а не 1 млн. комбинаций. Пока вы или я будете сначала плату «выпекать», потом все все аккуратно припаявать, заливать на прошивку, которая не дай бог еще и спалит вам что-то, а это считай все с нули начинать. На адруино уже соберут и покажут инвесторам, заказчикам, преподавателю. И потом уже когда правок по работе и реализации не будет, можно это все реализовывать на нормальной плате.
Просто разные задачи и сферы применения не более, я работал как с адруино, так и голым железом, скажу вам, в масштабах повседневности да и более того даже для того чтоб запилить АЦП с экраном, и там и там знаний надо приблизительно одинаково. Да может для нефте и газа промышленности нужно побольше знаний, но извините меня туда с адруино никто и не полезет.
Буквально вчера от Infineon пришла рассылка, они делают серию плат в формате Arduino со своими кристаллами и даже (вот ужас то) совместимые платы со своими контроллерами и встраивают их в А среду. Наверное, они не принадлежат к «цивилизованному миру», ну не все же столь продвинуты, как Вы.
PS: время вскрытия сейфа с комбинацией из трех чисел в худшем случае, при наличии начального знания о том, как пользоваться таким замком, голыми руками — в пределах 300 секунд, если чуть-чуть потренироваться.
Если код из пяти чисел именно перебирать, первое число -6 оборотов, второе 5 в обратную сторону, третье четыре итд… последее число можно по нарастающей/убывающей в зависимости от направления подряд набирать с проверкой. В общем, если говорить о переборе, то за час код из пяти чисел не верю. Просто везение.
3х числовой за 300 секунд тоже что-то сказочное, если совсем голыми руками.
_____
* Точно не помню, перемены разные 5-10 минут в основном, коды одинаковые. Один перебирает с 999 вниз, второй с 000 вверх. (В два раза быстрее) Перебрать нужно в среднем половину. (Еще в два раза быстрее) Числа на комбинации всегда что-то означают (https://ru.wikipedia.org/wiki/Закон_Бенфорда), а это значит что перебирать еще в >3 раза быстрее (правда отменяет первое удвоение скорости перебора, где начинают с 999). Получается 3х числовой код за 300 секунд это примерно 1.5 секунды на комбинацию. В среднем.
Спорное утверждение что комбинации всегда что-то означают. Часто — да, особенно если сейф индивидуальный. Но не всегда.
Главный момент. Код на кодовых замках почти никогда не нужно «брутфорсить». На кнопочных кодовых замках чуть иначе, но тоже есть куча способов начиная от гиковского методом измерения энергопотребления при наборе цифр, заканчивая старинным вариантом (который, правда, требует доступа к сейфу больше одного раза) намазать кнопки чем-нибудь незаметным для пользователя, что дает полный список кнопок, которые нажимались для открывания сейфа, после чего «буртфорсить» уже не все варианты, а только перестановки известных чисел.
Особенно смешно было, когда начали ставить кодовые замки в подъезды и на всякие двери в конторах. За пару недель использования все цифры кода становились настолько красиво отполированными, что не подобрать код с трех попыток становилось невозможно…
Так вот, большинство так называемых сейфов (сюда КМК входят все девайсы, производимые SentrySafe) сертифицируются как UL RSC, или Residential Security Container. Основное сертификационное требование — способность 5 минут противостоять взломщику, вооруженному молотком и фомкой длиной не более 18 дюймов. Еще раз: всего 5 минут, и у взломщика только базовые ручные инструменты. Такие сейфы обычно сделаны из листового металла толщиной 2.5мм и могут отвадить только аматоров, да и то ненадолго.
Для сравнения: то, что UL считает сейфами, начинается от стенок толщиной 7мм и двери толщиной 13мм, и способно противостоять взломщику с болгаркой 15 минут — но стоит и весит соответственно (у меня, например, его просто пол в доме не выдержит).
Поэтому взломать сейф, который квалифицированный медвежатник расколет за считанные минуты руками, за полчаса и с помощью хитрого девайса — безусловно, интересный эксперимент, но мало что говорит о собственно устойчивости сейфов к взлому.
Т.е. нормальный оружейный сейф будет весить порядка 120 килограмм. Да, тяжелая махина, но в большинстве случаев пол не проломит)
Мой недорогой и небольшой "сейф" из 2.75мм жести стоил $600 и весит 200кг.
Сертифицированный даже по TL-15 сейф весит тонну и стоит $5к
https://docs.google.com/spreadsheets/d/1aCeEM4W5n5r_r8i7jyLjn_QDYQpvuOCRrDvaE7PDlvo/edit?usp=sharing
Я не знаю, у меня дома стоял сейф из листовой стали, для двух ружей и отсек для патронов, он весил куда меньше. Можете проверить мой расчет.
А по расчету: может добавиться вес полок, петель, ножек, замка и отбортовки вокруг дверцы. Ну и краски килограмм.
Изначально речь шла о "сейфе из жести". А что может быть между стенок и тяжелее стали? Свинец?)
Согласен, давайте на это заложим 10% массы. Но не 100%.
Хотя, посмотрел, что собой представляет TL-15, похоже, тонна там получается все-таки в основном за счет стали.
SentrySafe с механическим замком начинаются от $150, по скидкам может быть и 120, например:
https://m.lowes.com/pd/SentrySafe-1-19-cu-ft-Combination-Lock-Commercial-Residential-Floor-Safe
Так всегда было. Хочешь сделать что-либо защищённым- начни это взламывать и закрывать дыры.
Похоже что производители сейфов этого не знают, раз допускают к разработке людей делающих такие явные дыры в безопасности устройств.
Меня такого рода публикации немного расстраивают, так как каждая из них — это один маленький шажок к тому, чтобы свободный оборот электронных компонентов и прочих товаров для самодельщиков и радиолюбителей накрылся мааааленьким таким тазиком.
Таких роботов даже из лего-роботикс собирали уже…
Кодовые замки на сейфах это не «чтобы не открыли ни за что», а «чтобы не открыли за те десять минут, что хозяин кабинета отлучился по делам»
Самодельный робот на Arduino вскрывает сейфы брутфорсом